パンデミックとバーチャル学習は教育機関をより多くのコンプライアンスリスクにさらしました。バーチャルな世界でFERPAコンプライアンスをどのようにナビゲートするかを学びましょう。
The Family Educational Rights and Privacy Act (FERPA) は、親に自分の子どもの教育記録へのアクセス権、修正を求める権利、教育記録から個人を特定できる情報の開示に対する一定の管理権を与えるアメリカ連邦法です。これらの権利は、18歳になった学生や高等教育機関に入学した学生に移行されます。
学生記録には、成績、成績証明書、クラスリスト、学生のコーススケジュール、学生の財務情報、学生の懲戒ファイル、K-12レベルの健康記録(個人のCOVID関連データを含む)が含まれます(ただしこれらに限定されません)。FERPAの下では、教育機関は各学生の記録にある個人を特定できる情報 (PII) を保護しなければなりません。
この法律は、教育長官が管理するプログラムの下で資金を受け取るすべての教育機関および機関に適用されます。機関や団体がFERPA規則に違反すると、連邦資金の完全な撤退のリスクがあります。FERPAの法令は20 U.S.C. § 1232gに、FERPAの規則は34 CFR Part 99にあります。
リモートの教職員と学生がFERPAコンプライアンスリスクを高める
パンデミックが教育機関により多くのコンプライアンスリスクを露呈させたのは驚くことではありません。しかし、多くの人は、FERPAを含むデータプライバシー法に違反しないようにする準備が十分ではありません。
カリフォルニア大学(UC)のケースを考えてみましょう。2020年12月24日、大学のAccellion ファイル転送アプライアンス (FTA) が標的型サイバー攻撃で侵害され、重大なデータ漏洩が発生しました。UCが公開したFAQによると、漏洩で盗まれた学生のPIIには、「フルネーム、住所、電話番号、社会保障番号、運転免許証情報、パスポート情報、銀行のルーティングおよび口座番号を含む財務情報、健康および関連する福利厚生情報、障害情報、生年月日、その他UCに提供された個人情報」が含まれていた可能性があります。
残念ながら、UCは学生(およびUCコミュニティ全体)に対して、2021年3月29日までに一部のPIIがすでにインターネットに投稿されていることを明らかにしました。
その後、現在の学生のPIIが盗まれて投稿されたことに加えて、UCシステムへの新しい応募者も悪いニュースを受け取りました: 「2020-2021学年度のカリフォルニア大学への提出された申請情報が影響を受けました。この情報には、生年月日、性別、家族の世帯収入レベル、民族性および/または部族の所属、第一言語、性的指向、学業情報(GPA、テストスコア)、および里親ケアを受けたかどうかが含まれる可能性があります」とUCのFAQに記載されています。
学生のPII(および他のPII)の将来の損失を防ぐために、UCはコミュニティに対して4つの主要なステップを講じたことを通知しました:
Accellion技術を廃止しました
より安全なソリューションへの移行を開始しました
FBIと協力していた
外部のサイバーセキュリティ専門�家を招いてさらに調査しました
同じFAQの後のセクションで、UCはセキュリティコントロール、プロセス、手順を強化しているとも述べています。
FERPAコンプライアンスに備えていないことのコスト
確かに、連邦資金の撤退の可能性は、UCや他の機関/団体が2020年12月の攻撃に先立ってより良い準備をする動機となるべきでした。それだけでは不十分な場合、データ侵害の結果としてUCが被った他のコストを考慮してください。最低限、追加のコストには以下が含まれていました:
高価なサイバーセキュリティおよびフォレンジックコンサルタントの料金
ITコストは、短期間で1つ以上の技術ソリューションを「リップアンドリプレース」することになります。
被害者からの潜在的な法的措置に関連する法的費用
新しいセキュリティコントロール、プロセス、手順の迅速な開発に費やされたリソース
UCを諦めた学生や応募者からの授業料と手数料の損失
UCブランドの評判への長期的なダメージ
結論として、教育機関は学生のPIIを安全に保つために、特に近年のサイバー攻撃の急増に対して、より良い準備が必要です。
仮想世界におけるFERPAコンプライアンス
Splashtopは、20年間にわたりトップ教育機関にリモートアクセス、リモートサポート、コラボレーションを提供してきました。それにより、学生、教職員のために仮想学習環境を実現しながら、FERPAコンプライアンスのベストプラクティスを提供するためのユニークな資格を持っています。学生のPIIをより安全に保つための4つの実証済みのベストプラクティスに従ってください。
ベストプラクティス #1: サイバーセキュリティポリシーを「リモートワーク」の現実に合わせて更新する
多くの人々はデータセキュリティの問題に不慣れであり、彼らの行動がどのようにデータ侵害につながるかを単に認識していません。学生のPIIの露出を防ぐためには、あなたの機関の全員が情報を得て意識を持つ必要があります。
従業員に情報を伝える最良の方法は、学生の記録データを安全に保つ方法を指示するサイバーセキュリティポリシーを確立し、共有することです。ITセキュリティポリシーはシンプルな文書で構いません。その存在理由を説明し、すべての従業員が従うべき具体的なセキュリティプロトコル(非技術的な用語で)を提供するべきです。また、理解に追加の助けが必要な従業員のための連絡先(メールまたは電話番号)を提供するべきです。
Splashtopがこのベストプラクティスに従う方法
例えば、Splashtopでは、技術的および組織的措置(TOMs)のサブセットとして「セキュリティポリシー」を開発しました。これらは、Splashtopが保存および処理するデータを保護し、安全にするために実施および維持しているセキュリティ対策と管理を説明しています。
私たちのITセキュリティ専門家は定期的にITセキュリティポリシーを見直し、修正しています。Splashtopの従業員は毎年情報セキュリティトレーニングを完了し、「行動規範」に定められたSplashtopの倫理的なビジネス行動、機密性、セキュリティポリシーを遵守しています。
ポリシーがあるが��、リモートワークを許可して以来更新していない場合は、リモートワークのルールとヒントを含むリモートワークポリシーを迅速に作成できます。リモート従業員が個人情報と会社のデータを安全に保つためにどのように行動すべきかに焦点を当て、特に在宅勤務時に注意を払います。
ベストプラクティス#2: 従業員を訓練し、ITがサポートできるようにする
上記のように、Splashtopの従業員は毎年情報セキュリティトレーニングを完了し、Splashtopの行動規範に定められた倫理的なビジネス行動、機密性、およびセキュリティポリシーを遵守しています。
私たちは次の方法でリモート従業員をサポートするためにITチームを準備します。
アカウントとパスワードポリシー:
Splashtopはすべてのユーザーに独自のログインを割り当て、強力なパスワードと2段階認証/多要素認証を通じてアクセスを付与します。
データセキュリティコントロール:
Splashtopのデータセキュリティコントロールには、最小権限の原則に基づく役割ベースのアクセス、アクセス監視、ログ記録が含まれています。これは、すべてのユーザーがSplashtopシステムを使用し始める際に、最低限のデータアクセスレベルを持っていることを意味します。
アクセスコントロール:
Splashtopは、データとシステムへの電子アクセスを管理するためのアクセス制御を実装しています。私たちのアクセスコントロールは、権限レベル、知る必要のあるパラメータ、およびシステムにアクセスする人々の職務分離に基づいています。
セキュリ��ティインシデント対応:
Splashtopは、「セキュリティインシデント対応」手順を確立しており、Splashtopサービスおよび情報資産に関連するイベントを調査、対応、軽減、および通知することができます。
ベストプラクティス #3: データを転送中および保存中に暗号化しておく
従業員がリモートで働く際にデータ保護を維持するための2つの鍵は、暗号化とアクセス制御です。
暗号化:
Splashtopは、すべてのユーザーデータを転送中および保存中に暗号化し、すべてのユーザーセッションはTLSを使用して安全に確立されます。各セッション内でアクセスされるコンテンツは常に256ビットAESで暗号化されます。
アクセスコントロール:
Splashtopは、データとシステムへの電子アクセスを管理するためのアクセス制御を実装しています。当社のアクセス制御は、システムにアクセスする人々の権限レベル、知る必要のあるレベル、および職務分離に基づいています。
追加のヒント: Splashtopは意図的にデータの過剰収集を避けています - 多くの企業が正当な理由なしに行っていることです。私たちは、機密データ/情報を収集しないことで、規制により簡単に適合します。私たちは、ユーザー名(メール)、パスワード、セッションログ(顧客がレビュー、トラブルシューティングなどのために)などの限られたPIIのみを収集、保存、処理し、SplashtopはGDPRおよびCCPAガイドラインに従って顧客情報を販売しません。
ベストプラクティス4: セキュアリモートアクセスを使用する
Splashtopのリモートアクセスソリューションは、ゼロトラストアプローチに従います。従業員がオフィスのコンピュータやワークステーションにリモートでアクセスする際、特別なSplashtop接続を介して入ります。企業ネットワークの一部ではない接続。これは、リモートデスクトップ上のデータ(例:Word文書)を表示および操作することしかできないことを意味します。データは企業ネットワークの外に出ることはありません。IT security leaders also have the choice with Splashtop to enable or 無効化 both ファイル転送 and print functions, which are highly recommended for compliance.
Splashtop リモートアクセスは、デバイス 認証、2段階認証 (2段階認証)、シングルサインオン (SSO) などのセキュリティ機能をさらに導入しています。これらの最新のセキュリティ対策は、VPNアーキテクチャには存在しません。
結論:学生のPIIを安全に保つために今すぐ始めましょう
4つのベストプラクティスは、学生のPIIを保護するだけでなく、機関全体を保護するためのシンプルで常識的なステップを表しています。さらに、FERPA違反によって引き起こされる広範なデータ侵害を防ぎます。予防は、修復コストやブランドの損害からあなたを救うことができます。
リモートデスクトップ for Distance, Remote & Hybrid Learning ページを訪れて、Splashtop が遠隔学習をどのように強化するかについて 詳細はこちら。
